악성 웜, 공급망 공격으로 암호화폐 도메인 손상
암호화폐/블록체인 전문 정보
11월 24일, 보안 회사인 Aikido는 Shai-Hulud 자가 복제 npm 웜의 두 번째 물결을 탐지하여 492개의 패키지를 손상시켰고 총 월간 다운로드 수는 1억 3,200만 건에 달했습니다. 이 공격은 AsyncAPI, PostHog, Postman, Zapier 및 ENS를 포함한 주요 생태계를 강타했으며, npm의 12월 9일 마감 기한 전 마지막 몇 주 동안 레거시 인증 토큰을 취소했습니다. Aikido의 분류 대기열은 AsyncAPI의 go-template 및 36개 관련 패키지의 악성 버전이 레지스트리 전체에 퍼지
핵심 특징
고품질
검증된 정보만 제공
빠른 업데이트
실시간 최신 정보
상세 분석
전문가 수준 리뷰
상세 정보
핵심 내용
11월 24일, 보안 회사인 Aikido는 Shai-Hulud 자가 복제 npm 웜의 두 번째 물결을 탐지하여 492개의 패키지를 손상시켰고 총 월간 다운로드 수는 1억 3,200만 건에 달했습니다. 이 공격은 AsyncAPI, PostHog, Postman, Zapier 및 ENS를 포함한 주요 생태계를 강타했으며, npm의 12월 9일 마감 기한 전 마지막 몇 주 동안 레거시 인증 토큰을 취소했습니다. Aikido의 분류 대기열은 AsyncAPI의 go-template 및 36개 관련 패키지의 악성 버전이 레지스트리 전체에 퍼지기 시작하면서 UTC 오전 3시 16분경에 침입을 표시했습니다. 공격자는 9월 캠페인의 연극 브랜드를 유지하면서 “Sha1-Hulud: The Second Coming”이라는 설명으로 도난당한 자격 증명 저장소에 레이블을 붙였습니다. 웜은 패키지 설정 중에 Bun 런타임을 설치한 다음 TruffleHog를 사용하여 개발자 환경에서 노출된 비밀을 검색하는 악성 코드를 실행합니다. 손상된 API 키, GitHub 토큰 및 npm 자격 증명은 무작위로 이름이 지정된 공개 저장소에 게시되며, 악성 코드는 9월 공격 규모의 5배인 최대 100개의 추가 패키지에 새로운 감염된 버전을 푸시하여 전파를 시도합니다
상세 분석
. 기술적 진화와 파괴적인 페이로드 11월 반복에는 9월 공격의 몇 가지 수정 사항이 도입되었습니다. 이제 악성 코드는 하드코딩된 이름을 사용하는 대신 도난당한 데이터에 대해 무작위로 생성된 이름으로 저장소를 생성하므로 게시 중단 노력이 복잡해집니다. 설치 코드는 웜 논리 및 자격 증명 추출 루틴이 포함된 bun_environment.js의 기본 페이로드를 실행하기 전에 setup_bun.js를 통해 Bun을 설치합니다. 가장 파괴적인 추가 사항은 악성 코드가 훔친 자격 증명을 사용하여 GitHub 또는 npm으로 인증할 수 없는 경우 사용자의 홈 디렉터리에 있는 모든 파일을 지운다는 것입니다. Aikido의 분석에서는 공격의 확산을 제한하는 실행 오류가 드러났습니다.
정리
전체 웜을 새 패키지에 복사하는 번들링 코드는 때때로 bun_environment.js를 포함하지 못하고 악성 페이로드 없이 Bun 설치 스크립트만 남습니다. 이러한 실패에도 불구하고 초기 손상은 대규모 다운스트림 노출로 고가치 목표를 공격했습니다. AsyncAPI 패키지는 @asyncapi/cli, @asyncapi/parser 및 @asyncapi/generator를 포함하여 36개의 손상된 릴리스로 첫 번째 물결을 지배했습니다. PostHog는 UTC 오전 4시 11분에 감염된 버전의 posthog-js, posthog-node 및 수십 개의 플러그인으로 뒤따랐습니다. 우편 배달부 패키지는 UTC 오전 5시 9분에 도착했습니다. Zapier 손상은 @zapier/zapier-sdk, zapier-platform-cli 및 zapier-platform-core에 영향을 미쳤으며 ENS 손상은
자주 묻는 질문
Q. 어떤 정보를 제공하나요?
A. 암호화폐/블록체인 관련 최신 정보를 제공합니다.
Q. 신뢰할 수 있나요?
A. 검증된 출처만 선별합니다.
Q. 더 궁금한 점은?
A. 댓글로 문의하세요.
원문 출처
이 글은 원본 기사를 참고하여 작성되었습니다.